Google安全研究人員最近發(fā)現(xiàn)，NTP協(xié)議(網(wǎng)絡(luò)時(shí)間協(xié)議)出現(xiàn)了一些新的嚴(yán)重漏洞，NTP 4.2.8之前的版本均受影響，黑客可以利用這些漏洞展開(kāi)遠(yuǎn)程攻擊。

[[125141]]

NTP 4.2.8以前版本均受影響

NTP協(xié)議是用于計(jì)算機(jī)系統(tǒng)之間的一個(gè)網(wǎng)絡(luò)時(shí)間同步協(xié)議。

在NTP 4.2.8之前的版本都會(huì)受到此次漏洞影響影響。更為嚴(yán)重的是，研究人員已經(jīng)真實(shí)環(huán)境下發(fā)現(xiàn)了真實(shí)攻擊案例以及相應(yīng)的漏洞利用程序(EXP)。在這一系列NTP協(xié)議的漏洞里，包括了遠(yuǎn)程緩沖區(qū)溢出等嚴(yán)重問(wèn)題，黑客可以輕松地將這些使用老版本NTP服務(wù)的服務(wù)器黑掉。

漏洞利用程序(EXP)已在地下流傳

ICS-CERT(工業(yè)控制應(yīng)急響應(yīng)中心)顧問(wèn)稱：

“Google安全研究小組成員Neel Mehta和Stephen Roettger曾與CERT/CC合作研究NTP協(xié)議的多個(gè)漏洞。由于NTP協(xié)議在工控系統(tǒng)中廣泛使用，NCCIC/ICS-CERT向美國(guó)重要基礎(chǔ)設(shè)施資產(chǎn)管理者和客戶進(jìn)行預(yù)警，同時(shí)希望盡快找出修復(fù)或緩解措施。”

漏洞可以被遠(yuǎn)程利用，漏洞利用程序(EXP)也已經(jīng)在地下黑市廣為流傳。黑客只需要發(fā)送單一的數(shù)據(jù)包，就可以對(duì)NTP緩沖區(qū)溢出進(jìn)而執(zhí)行惡意代碼，最后對(duì)NTPD進(jìn)程的進(jìn)行系統(tǒng)權(quán)限提升操作。

NTP漏洞的歷史攻擊案例

在之前的攻擊事件中，攻擊者往往利用NTP協(xié)議漏洞進(jìn)行DDoS攻擊，比如在2013年圣誕節(jié)就曾出現(xiàn)過(guò)一系列NTP反射型DDoS攻擊案例。

NTP使用的UDP 123端口包含一個(gè)名為monlist模塊，NTP服務(wù)器收到monlist請(qǐng)求后最多可以返回100個(gè)響應(yīng)包。因此攻擊者通過(guò)偽造受害主機(jī)的IP地址，向全網(wǎng)的NTP服務(wù)器發(fā)送monlist請(qǐng)求，NTP服務(wù)器進(jìn)而向受害主機(jī)返回大量的數(shù)據(jù)包，造成其網(wǎng)絡(luò)擁塞。這是一種典型的分布式反射拒絕服務(wù)(DRDoS)攻擊方式。

在下圖中我們可以看到，約有15000個(gè)IP地址使用了NTP協(xié)議進(jìn)行反射型攻擊，它們似乎屬于一個(gè)僵尸網(wǎng)絡(luò)。

NTP反射攻擊的放大系數(shù)高達(dá)1000，因此深受黑客們喜愛(ài)。攻擊者能在成本較低的情況下取得極為良好的攻擊效果。

NTP官網(wǎng)公告

參考來(lái)源：securityaffairs，arstechnica